小心 Google Chrome 瀏覽器也有不安全的危險動作

即使是像 Google Chrome 瀏覽器這樣，已經預先針對資訊安全架構強化設計，但仍然無法完全避免。某位資安專家更指出，這個世界上沒有絕對安全的瀏覽器。

從資訊安全的角度看，Google Chrome 瀏覽在設計之初，已將這類議題納入考量，但這彷彿像是一種宿命，仍然無法讓她在資安議題中免疫。

資訊安全顧問公司 SecTheory 執行長 Robert Hansen 證實了 Chrome 瀏覽器的確存在某些弱點；因為有些網頁是等載入時才動態採用 JavaScript 寫入 HTML，一般直接檢視原始碼是看不到這類動態寫入的東西；然而，Chrome 瀏覽器則是加快 JavaScript 程式碼的解析速度，以提升使用者瀏覽內建複雜 JavaScript 程式之網站的速度，但使用者若採用 view-source 功能來瀏覽網頁時，卻可能無法開啟 JavaScript 網頁。

Hansen 在其部落格中指出，Chrome 瀏覽器的問題也包含經過驗證的網頁連結；對 Chrome 使用者來說，若果真遇到了前述問題，將會出現一個對話框，顯示：「鄭重建議，如果你看見這個訊息，請改用其他瀏覽器」

對網路開發者來說，任何連結可以透過這種方式啟動 JavaScript，便可能開啟社交工程攻擊的大門。

Google 正計畫快速修復這個漏洞，該公司發言人透過電子郵件發表聲明指出，相信這個問題對於絕大多數的使用者並不會造成任何風險，因為他們多半不會透過 view-source 來瀏覽網頁。同時，該公司也正致力於結合 view-source，讓網頁瀏覽能更符合使用者的期望。

記者透過電話採訪，Hansen 提到，這個程式錯誤目前並不是特別嚴重，因為只有開發人員才會會定期點選檢視網頁原始碼，更何況現在也沒有太多人安裝 Chrome 瀏覽器。

Hansen 進一步說明指出，Chrome 的這個問題，其實真的並不是什麼驚天動地的大麻煩；只不過，他感到不解的反倒是，人們談到 Chrome 的時候，總是強調她有多麼多麼地安全無虞。可是，Chrome 瀏覽係採用 WebKit 引擎來開發，但這玩意兒對於安全性的問題，並不那麼注重。

Google 的 Chrome 瀏覽器屬於開放原始碼計劃，採用了和蘋果 (Apple)Safari 瀏覽器相同的 WebKit 引擎來開發。微軟 (Microsoft) 的 IE(Internet Explorer) 瀏覽器係採用專有的 Trident 引擎進行開發，至於 Mozilla 的 Firefox，則是基於 Gecko 引擎所開發。

關於 WebKit 安全性問題，Hansen 表示，他並不認為這個開發引擎有特別著眼在此一議題。

此外，對於 Mozilla Firefox 的安全問題，也在持續升高當中，因為她也是同樣缺乏專門的資安專業人員聚焦於此。絕大多數的情況是，他們只有一些烏合之眾負責處理這些問題。

相對地，Hansen 強調，IE 瀏覽器在安全設計上，便較這些競爭對手強了許多。畢竟，全世界有太多人在使用，在眾目睽睽之下，他們勢必得要多花點心思。

不過，在過去 3 個月期間，微軟公佈了「browser-and-get-owned」的嚴重資安漏洞，非瀏覽器軟體元件將會危及 IE 瀏覽器的安全。

然而，從統計學上來說，微軟持續不斷的安全性更新，或許可以讓 IE 瀏覽器比較安全－這個工作永遠沒有停止的一天。不過，Hansen 並無意大力推薦 IE 瀏覽器，並且明白指出，他的說法並不等於使用 IE 瀏覽器就不必擔心安全的問題，因為，坦白說，這個世界上根本沒有絕對安全的瀏覽器。

不過，Hansen 指出，據他資安業界的朋友透露，Firefox 更是問題多多，而他之所以會用 Firefox，是因為這麼做比較方便使用一些特殊功能。